Come McLaren Racing rimane un passo avanti rispetto alle minacce e-mail evolute

Ed Green, Principal Digital Architect at McLaren Racing (Contributo ospite) | mercoledì 6 gennaio 2021

In McLaren Racing la protezione delle caselle di posta in arrivo dei nostri team è sempre stata una sfida. Anche prima dell’arrivo del COVID-19, la nostra forza lavoro era incredibilmente dinamica; negli ultimi 30 anni, ogni week-end abbiamo allestito efficacemente un ufficio remoto presso i circuiti in tutto il mondo. Pertanto abbiamo sempre inviato un numero estremamente elevato di e-mail anche se non sempre centralizzate in una singola sede.

La collaborazione è la chiave per il nostro team, sia con i nostri partner che con i nostri principali fornitori. Ogni giorno si verifica la condivisione di dati, usando una varietà di metodi, che vanno da progetti automobilistici confidenziali a dati sul circuito riservati.

Gli attacchi e-mail che prendono di mira i nostri utenti si sono evoluti in maniera considerevole nell’ultimo anno o due, con i pirati informatici che tentano di sollecitare pagamenti fraudolenti o di accedere alle nostre proprietà intellettuali. A causa di tentativi di social engineering sempre più sofisticati significa che i nostri utenti continuano ad avere a che fare con phishing ed e-mail di spoofing, nonostante la presenza di una gamma di strumenti e procedure per evitare questo tipo di eventualità.

L’anno scorso abbiamo esteso il Darktrace Immune System alla nostra casella di posta in arrivo e oggi disponiamo di una soluzione di sicurezza intelligente basata sull’AI in grado di comprendere il “pattern of life” di ogni utente Microsoft 365 e rilevare qualsiasi attacco. Darktrace ha consentito al team della sicurezza di rimanere un passo avanti rispetto alle minacce e-mail più evolute, anziché rispondere in modo retrospettivo agli attacchi che fanno in modo di eludere le difese tradizionali.

Formare la nostra forza lavoro per individuare gli attacchi

In precedenza facevamo affidamento su una threat intelligence e su strumenti di sicurezza retrospettivi che bloccavano indirizzi, domini e URL pericolosi ma, in ogni caso, un volume ridotto di e-mail di phishing continuava ad arrivare nelle caselle di posta dei nostri utenti. Solitamente queste e-mail erano ben studiate ed estremamente contestualizzate, personalizzate in base al destinatario e a volte indistinguibili da comunicazioni legittime. Nonostante i continui programmi di sensibilizzazione per i dipendenti, una parte di queste pericolose e-mail ingannava gli utenti, portando alla compromissione di account e tentativi di frode. Le nostre risorse di sicurezza venivano quindi impegnate nella reazione a questi incidenti, anziché nel migliorare in modo proattivo la sicurezza in McLaren Racing.

Abbiamo organizzato settimane di sensibilizzazione informatica, in collaborazione con molti dei nostri partner, simulando le nostre campagne di phishing personalizzate per insegnare alla nostra forza lavoro come individuare gli attacchi. Ma questi programmi formativi sono diventati difficili da svolgere a causa dell’aumento del lavoro da remoto. Il coinvolgimento dei dipendenti è sempre stato fondamentale e ciò significa un consumo di risorse ancora più grande per il nostro team della sicurezza, che di solito dedicava molto tempo ai nostri stakeholder senior, aiutandoli ad identificare e-mail di spoofing e collaborando con loro per attivare i processi aziendali.

È stato un processo lungo e difficile ed è difficile aspettarsi che i nostri dipendenti individuino i segnali sempre più impercettibili di un attacco e-mail. Con gli attacchi e-mail sempre più sofisticati, la ricerca che serve per produrli e il livello di social engineering in gioco, gli attacchi di phishing riescono inevitabilmente ad eludere sia le difese umane che quelle rudimentali.

Passaggio alla cyber AI

Lavorando con il nostro partner Darktrace, abbiamo implementato la loro tecnologia di sicurezza per le e-mail, Antigena Email, e abbiamo lavorato insieme sulla configurazione e sull’installazione. In pochi giorni abbiamo potuto vedere dei risultati. Il volume di e-mail di phishing segnalate dagli utenti è diminuito notevolmente, il regolare riesame delle azioni di Antigena Email ci ha permesso di scoprire molte campagne di phishing di cui in precedenza non eravamo a conoscenza.

Le azioni di Antigena sono state prese nel contesto aziendale, bloccando e-mail solo come ultima risorsa (<1% nel nostro ambiente) e individuando solo le e-mail realmente pericolose anziché produrre una montagna di falsi positivi. Le azioni erano inoltre mirate e proporzionate, e variavano dallo spostamento di e-mail nella posta indesiderata alla conversione di allegati, al blocco di link, fornendoci la flessibilità di cui avevamo bisogno.

Con Antigena Email che apprende in modo costante e blocca gli attacchi e-mail evoluti, il resto del team non è più sotto pressione e può così dedicare del tempo al lavoro con l’azienda per supportare nuove iniziative e collaborare in nuove aree di innovazione.

Blocco di un attacco di acquisizione credenziali mirato ai danni di C-suite

Come per molte organizzazioni, spesso è C-suite il bersaglio delle e-mail più pericolose e Antigena Email di recente ha individuato un’e-mail inviata ad uno dei nostri dirigenti, con la richiesta di firmare un documento finanziario. L’e-mail sembrava avere come origine DocuSign e conteneva un link pericoloso nascosto dietro il testo “Riesamina documento”.

100%
Sat Oct 31 2020, 00:57:21
From:DocuSign on Behalf of Accounting Department
Recipient:<[email protected]>
Please DocuSign: Accounting sent you a document to review and sign
Email Tags
Suspicious Link
New Contact
Actions on Email
Move to Junk
Lock Link
Double Lock Link

Figura 1: Screenshot interattiva dell’interfaccia utente di Antigena Email che analizza l’e-mail

Figura 2: Cattura di schermata dell’e-mail in questione

Se si fa clic sul link, solitamente si verificano due tipi di scenari derivanti da questo tipo di attacco e-mail. L’utente viene indirizzato ad una pagina di accesso falsa (e spesso molto convincente) che acquisisce le credenziali, oppure il documento stesso contiene una fattura dall’aspetto legittimo, ma con un elemento fondamentale modificato: i dettagli bancari. I team di gestione clienti e i CFO sono regolarmente i bersagli di questo tipo di attacco ma, in questo caso, i pirati informatici avevano attaccato le credenziali del dirigente.

Se il dirigente avesse fatto clic e tentato l’accesso, avrebbe inconsapevolmente inviato le proprie credenziali al pirata informatico, che avrebbe quindi potuto usare queste informazioni per acquisire dati sensibili dalla sua casella di posta in arrivo o da altri account SaaS, oppure inviato ulteriori e-mail pericolose dall’account per infiltrarsi ulteriormente nella nostra organizzazione.

L’e-mail è stata inviata durante il week-end del GP di Imola, cioè durante 48 ore di estrema pressione per tutto il team, poiché dovevamo affrontare un nuovo formato di gara senza le prove del venerdì, creando così ulteriore pathos al week-end di gara. Tuttavia, Antigena Email era all’erta, riconoscendo il mittente come un nuovo contatto e considerando il link come sospetto. Con questi dubbi riguardo l’e-mail, l’AI di Darktrace ha attivato il doppio blocco al link e ha spostato automaticamente l’e-mail nella cartella di posta indesiderata del dirigente. Tutto questo senza allertare il team della sicurezza reperibile durante il week-end.

Con attacchi come questo che arrivano ogni giorno, fare affidamento sulla forza lavoro di McLaren per distinguere ciò che è reale da ciò che è falso non potrà mai realisticamente proteggerci da ogni singola minaccia. Con la raccolta di credenziali e la compromissione di account in continua crescita, era solo questione di tempo prima che una sola e-mail di phishing avesse successo e riuscisse ad eludere le barriere. Ma grazie ad Antigena Email, abbiamo la certezza di avere a disposizione un’efficace soluzione basata sull’AI che ci protegge, sia internamente che esternamente.

Scopri ulteriori informazioni su Antigena Email

Ed Green

Ed Green works in the Architecture practice within the Information Technology function at McLaren Technology Group, as well as being responsible for the successful integration of their Technology Partners into the McLaren ecosystem. Ed joined McLaren in March 2018 after spending 5 years working for Block Solutions, a specialist network consultancy. In previous roles, he led the Consultancy division at a UK Solution Integrator operating across the public, enterprise, and commercial sectors. Ed has driven innovative engagements with organisations such as Harrods, intu, The Francis Crick Institute, and Barts Health NHS Trust. He has also spent seven years on the council at Great Ormond Street Hospital representing the views of patients at a Board level, and he continues his work at the Hospital School as a Governor and supports the school with STEM initiatives.